Espionnage et cybersécurité : des dizaines d'agents de la CIA arrêtés ou exécutés... sur simple clic Google !

Au moins 30 agents "neutralisés", des dizaines d'autres démasqués. La CIA a payé un lourd tribut au renseignement entre 2009 et 2013. L'Agence américaine possédait des serveurs de communication "cachés" sur Internet. Les services iraniens et chinois avaient trouvé la "formule magique" pour récupérer leurs adresses. Explications

L'information n'est révélée qu'aujourd'hui par deux journalistes de Yahoo News, Zach Dorfman and Jenna McLaughlin, mais elle reste énorme par ses conséquences. L'affaire s'est déroulée entre 2009 et 2013 : un système de communication par serveur Internet de la CIA, utilisé par des agents infiltrés à l'étranger, a été compromis durant toute cette période par les renseignements iraniens, puis chinois. Des dizaines d'agents et de sources ont été démasqués en Iran et enfermés, 30 autres ont été exécutés en Chine. Le système pour permettre les échanges via Internet était basé sur le principe du "web caché", ce qui pour une agence de renseignement frise l'amateurisme le plus complet.

Une requête Google pour faire "apparaître" l'adresse du serveur

Le principe que la CIA avait décidé d'appliquer pour permettre à des agents en Iran ou en Chine d'échanger des informations était le suivant : des serveurs web étaient activés de façon temporaire, et pas indexés pour n'être affichables par le moteur de recherche Google qu'avec une certaine méthode et certains mots clés dans la recherche avancée. Ce que le spécialiste en cybersécurité Philippe Laquet résume par la sentence suivante : "C'était une sorte de "formule magique" dans la barre de recherche google, ce qu'on appelle un "dork", pour pouvoir rechercher les serveurs non indexés".

Ces serveurs permettaient à des sources à l'étranger d'échanger avec la CIA après avoir tapé la requête avancée Google leur donnant un lien url (adresse du serveur web) sur lequel ils venaient se connecter. Une fois les échanges effectués, le serveur était désactivé et d'autres pouvaient s'activer temporairement dont l'adresse différente était néanmoins toujours récupérable via cette fameuse méthode de recherche avancée sur le moteur Google. "Quiconque utilisait la "formule magique" de recherche pouvait retrouver les dits serveurs", précise le cyberspécialiste.

En 2009, un agent double iranien  a utilisé l'un de ces sites web temporaire. Les services dont il dépendait en Iran ont très vite compris la méthode utilisée, ce qui leur a permis de trouver d'autres sites web d'échanges entre la CIA et ses sources…

Et C'est ainsi que la plupart des sources de la CIA en Iran ont été identifiées et arrêtées en 2011. 

Des serveurs utilisés par la Chine

Ces accès aux serveurs de communication avec les sources de la CIA à l'étranger n'ont pas seulement permis les arrestations iraniennes, bien que les services iraniens les aient utilisé aussi pour se rapprocher d'agents américains afin de les recruter comme agents double. Entre 2011 et 2012, la Chine a elle aussi accédé à ces serveurs web temporaires afin d'identifier les sources ou agents américains utilisant ce système, ce qui a mené — selon les confidences reçues par les journalistes de Yahoo news — à l'exécution de 30 personnes par le gouvernement. Il est possible que les services iraniens aient partagé des informations avec les services chinois, que ce soit sur l'identité de sources en Chine ou en leur donnant la méthode utilisée pour trouver les adresses de serveurs. Les 11 anciens responsables de l'agence américaine de renseignement (et d'anciens proches du gouvernement américain) qui ont parlé aux journalistes de Yahoo news estiment qu'il est possible que la compromission ait été mondiale. La CIA aurait probablement été forcée de retirer ses agents présents dans le monde entier.

Comment la CIA a-t-elle pu imaginer permettre à des agents exposés à l'étranger de communiquer par des serveurs web repérables grâce à une simple recherche avancée dans Google ? Le mystère à ce niveau là reste entier…

Pascal Hérard

 04.11.2018